最近开始搞cisco ASA设备,发现在nat的acl中无法使用deny语句实现对dmz区域的访问:
access-list natlist-1 extended deny
ip 172.17.0.0 255.255.0.0 172.17.6.0 255.255.255.0
access-list natlist-1 extended permit ip 172.17.0.0 255.255.0.0 any
nat (inside) 1 access-list natlist-1
ciscoasa(config)# nat (inside) 1 access-list natlist-1
ERROR: Deny rules not supported in Policy Nat
经过上网搜索和查看8.2版本的ASA文档得知,可以通过nat()0
的方式对访问DMZ区域流量进行旁路规则:
access-list natlist extended permit ip 172.17.0.0 255.255.255.0 any
nat (inside) 1 access-list natlist
access-list exempt extended permit ip any 172.17.6.0 255.255.255.0
nat (inside) 0
access-list exempt
分享到:
相关推荐
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
在实际工作中,我们经常遇到公司把 WWW 服务器放在 ASA 的 DMZ 区域,要求内部用户也能通过 WWW 服务器的域名进行访问。这个问题也有很多的工程师来问,其实这个问题也是个老问题了,但是总有很多弟兄不知该如何配置...
这篇实验指导了如何使用Cisco ASA 5505从内网访问DMZ服务器(真实防火墙)。实验的主要目标是创建VLAN、配置接口、配置内部转换地址池(NAT)、配置WWW和FTP服务器,并测试防火墙的连通性。 知识点一:VLAN的创建和...
Basic ASA NAT Configuration Webserver in the DMZ in ASA Version 8.3 and later.
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)[归纳].pdf
介紹dmz和nat的基本文件,歡迎大家下載喔
NAT和DMZ的介绍,需要的可以参考下。
NAT静态映射和虚拟服务器(DMZ主机)启用NAT功能后,设备会阻断从外部发起的访问请求。然而,某些应用环境下,广域网中的计算机希望通过设备访问局域网内部服务器,这时,就需要在设备上设置NAT静态映射或虚拟服务器...
DMZ区域与防火墙技术简述汇编.pdf
NAT DMZ(Demilitarized Zone,非军事化区)是一种特殊的NAT配置,它允许特定的服务(如Web服务器、FTP服务器等)位于DMZ区域中,同时可以被外部网络访问。这种方式能够提高安全性,因为只有指定的服务才会暴露给...
信息安全技术基础
很强大呀,适合对理论知识不清楚的初学者!!!!
本文将详细介绍如何在华为设备上配置静态NAT PAT(网络地址转换与端口地址转换),以解决内部用户通过运营商提供的域名访问内部服务器的问题。具体需求如下: 1. **内部用户**能够通过运营商提供的**域名**访问内部...
DMZ 的服务配置包括地址转换(NAT)和安全规则限制,以达到隐蔽真实地址、控制访问的功能。首先要根据将要提供的服务和安全策略建立一个清晰的网络拓扑,确定 DMZ 区应用服务器的 IP 和端口号以及数据流向。 在 DMZ...
具体介绍DMZ的概念及其示范图,一定让你更加明白其作用和具体的实践操作
SecPath1000F作为出口防火墙,DMZ区的服务器做NATServer;运营商接 入设备为MA5200G,分配了一段公网地址给用户。 故障现象 外网用户PC2不能访问DMZ区的服务器,但是如果PC1连接到SecPath1000F 的外网口,则可以正常...
知道什么是DMZ区域
主要介绍了DMZ区域的配置过程和注意事项